2026年4月までに、ISO/IEC 42001の認証を取得した組織の一覧は、エンタープライズAIの主要プレイヤーを網羅するものとなっています。IBM（Graniteモデル）、Anthropic（Claude）、Microsoft（365 Copilot）、KPMG Australia（アドバイザリー業務全体）、そしてシンガポールのチャンギ空港（運用AIシステム）です。[1] 2023年12月に発行された本規格は、発行からエンタープライズ導入までのスピードが、多くの観測者の予測を上回りました。さらにその勢いは加速しており、その大きな要因は、EU AI法における高リスクシステム義務の2026年8月期限が迫っていることです。

しかし、ISO 42001の実装に関する多くのガイダンスは、「それは何か」「なぜ重要か」で止まっています。ISO 42001準拠の達成を任されたエンタープライズチームが直面するのは、より実務的な問いです。すなわち「どう進めるか」です。ギャップ分析はどのような形になるのか。どの文書が必要か。付属書Aの38の管理策を、どのように運用実務へ落とし込むのか。そして認証は、EU AI法準拠を代替することなく、どのように支援するのか。

本ガイドは、これらの問いに答えるものです。対象は、ISO 42001の実装を求められ、その実務内容を具体的に把握する必要があるコンプライアンス責任者、AIガバナンスリード、エンジニアリングチームです。

ISO 42001が要求する内容

ISO/IEC 42001は、人工知能マネジメントシステム（AIMS）に関する初の国際規格です。情報セキュリティのISO 27001や品質マネジメントのISO 9001で用いられる同一の調和構造（旧Annex SL）に従っているため、これらの規格ですでに認証を取得している組織にとって、マネジメントシステムの骨格は馴染みやすいものです。[2]

本規格の10の条項は、7つの領域にわたり必須要求事項を定めています。

• 組織の状況（条項4）： 組織のAIにおける役割（提供者、開発者、顧客、またはパートナー）を定義し、利害関係者を特定し、AIMSの適用範囲を決定する

• リーダーシップ（条項5）： AI方針を策定し、役割と責任を割り当て、トップマネジメントのコミットメントを確保する

• 計画（条項6）： AIリスクアセスメントを実施し、AIシステム影響評価を行い、目標を定義する

• 支援（条項7）： リソースを配分し、力量を構築し、文書化した情報を維持する

• 運用（条項8）： 管理策を実装し、リスク対応計画を実行し、運用プロセスを管理する

• パフォーマンス評価（条項9）： AIMSの有効性を監視・測定し、内部監査を実施し、マネジメントレビューを実施する

• 改善（条項10）： 不適合に対処し、是正処置を実施し、継続的改善を推進する

ISO 27001との相違点

ISO 27001に精通した組織であれば、構造は認識できるはずです。違いは、その上に重ねられたAI固有の実質的内容にあります。

条項4.1では、組織がAIエコシステム内での役割を定義することが求められます。これはISO 27001には同等の概念がありません。大企業は同時に、AI提供者（顧客へAI搭載製品を提供）、AI顧客（サードパーティ製AIツールを社内利用）、AIパートナー（他組織のAIシステムへデータを供給）であり得ます。AIMSの適用範囲は、組織が担うすべての役割を反映しなければなりません。

条項6.1.4では、AIシステム影響評価が導入されています。これは、AI展開が個人・集団・社会にもたらす潜在的影響を正式かつ文書化して評価するものです。これは組織リスク評価（ISO 27001実務者にとって馴染みのあるもの）を超え、外部被害を考慮します。たとえば採用判断に影響するアルゴリズムバイアス、自動化システムによる金融サービス拒否、市民的自由を侵害する監視技術などです。方法論への規定度は低いものの、従来のリスク登録簿よりも、GDPRのデータ保護影響評価に近い考え方です。

そして付属書Aは完全に新規です。ISO 27001の付属書Aが93の情報セキュリティ管理策を含むのに対し、ISO 42001の付属書AはAIガバナンスに特化した9領域・38管理策で構成されます。[3]

38の管理策：付属書Aが実際に求めるもの

付属書Aは本規格の運用面における中核です。38の管理策は9つの領域に整理され、それぞれ責任あるAI管理の異なる側面を対象としています。

38の管理策すべてが、すべての組織に必須というわけではありません。本規格は、適用宣言書（SoA）を要求します。これは、付属書Aの各管理策を列挙し、AIMSに含めるか除外するかを明示し、除外については正当化を示す文書です。SoAは監査人が最初に要求する文書の一つであり、その品質が監査全体のトーンを左右することが少なくありません。AIポートフォリオが大規模な組織では、SoAにより段階的ガバナンスも可能になります。すなわち、高リスクシステムには付属書A管理策を全面適用し、低リスク展開にはより軽量なアプローチを採ることができます（ただし、リスクベースの根拠を文書化することが前提です）。

付属書Bは各管理策の実装ガイダンスを提供します。付属書CはAIリスク源をマッピングします。付属書Dはドメイン固有規格との相互参照を示します。これら4つの付属書は、包括的な実装リファレンスを構成します。

ISO 42001実装：認証取得までの7ステップ

ステップ1：適用範囲を確定し、AIインベントリを構築する

まず、AIMSの境界に含める対象を定義します。これは、組織が構築・購入・展開・提供に関与するすべてのAIシステムを棚卸しすることを意味します。サードパーティツール、ソフトウェア製品に組み込まれたAI、API経由で利用するAIサービスも含みます。

このステップは、常に想定以上に難易度が高いものです。シャドーAI（従業員がITの可視化なしにChatGPT、Copilot、その他のAIツールを利用すること）は、多くの場合この段階で発見されます。インベントリには最低限、システム名と目的、AIでの役割（提供者・顧客・パートナー）、データ入力と出力、展開状況、リスク分類、システムオーナーを含めるべきです。

適用範囲の判断は、実装規模も左右します。最初に単一の事業部門または製品ラインにAIMSを限定し、その後拡大する組織もあれば、当初から全社スコープで進める組織もあります。最適解は組織の複雑性に依存しますが、初回から包括カバレッジを目指すより、狭く始めて拡張する方が一般に実務的です。

ステップ2：ギャップ分析を実施する

適用範囲を定義したら、現行実務を各条項要求（条項4～10）および適用対象の付属書A管理策と構造的に比較します。コンプライアンス、法務、データサイエンス、エンジニアリング、プロダクト、リスク管理を横断するチームを編成してください。

各ギャップについて、不足事項を文書化し、重大度を評価し（高リスクAIシステムや中核ガバナンス要求に影響するギャップを優先）、是正に要する工数を見積もります。すでにISO 27001認証を取得している組織では、条項4～10のギャップの多くは軽微です。マネジメントシステム基盤は直接引き継げます。大きな新規作業は、条項6.1.4（AI影響評価）、付属書A管理策、AI固有のエビデンス要求に集中します。

ステップ3：AIMSを設計する

マネジメントシステムの構成要素を構築または適応します。

• AI方針および下位方針： 全体方針（条項5.2）は、責任あるAIの価値観（公平性、透明性、説明責任、安全性、プライバシー）を扱う必要があります。適用範囲に応じて、許容利用、データガバナンス、サードパーティAIに関する下位方針が必要になる場合があります

• リスク評価方法論： 既存のリスク評価プロセスを、AI固有リスク（アルゴリズムバイアス、モデルドリフト、誤用、説明不能な出力、セキュリティ脆弱性）に対応するよう適応します。方法論は、一貫性があり比較可能な結果を生み出さなければなりません

• AIシステム影響評価方法論： 個人・集団・社会への影響を評価するためのテンプレートとプロセスを整備します。再評価トリガー（大規模変更、新たなデータソース、新規ユースケース、規制変更、有害インシデント）を定義します

• 役割・責任マトリクス： AIMS全体の責任者、個別AIシステムの責任者、リスク／影響評価の実施者、付属書A各管理領域の説明責任者を定義します

• 教育・力量プログラム： 役割ごとの力量要件を特定し、それに応じた教育計画を策定します

ステップ4：管理策を実装し、エビデンスを収集する

管理策を運用に展開します。ここで多くの実装が減速します。規格が要求するのは、紙上の方針ではなく、検証可能なエビデンスだからです。

エビデンス成果物には、システム能力と限界を記載したモデルカード、テストおよび妥当性確認ログ、バイアス評価記録、データ系統文書、インシデント対応記録、変更管理ログ、人的監督介入記録が含まれます。エンタープライズ実装を支援してきたEnzaiの経験でも、先行導入企業の一貫した報告と同様に、最も困難な運用課題はエビデンス収集と文書化の規律です。問題はエビデンスが存在しないことではなく、集中収集メカニズムのないまま、ツール・チーム・システムに分散していることです。

ステップ5：内部監査

認証申請前に、スコープ内のすべての条項および付属書A管理策に対して、少なくとも1回の完全な内部監査を実施します。内部監査人は、監査対象管理策から独立している必要があります（他機能の社内要員、または有資格の第三者で可）。監査は所見を出力し、不適合は次工程に進む前に是正処置プロセスで対処しなければなりません。

ステップ6：マネジメントレビュー

正式なマネジメントレビュー（条項9.3）を実施し、AIMSパフォーマンスデータ、内部監査結果、リスクおよび影響評価の出力、不適合と是正処置、ステークホルダーフィードバック、AIMSに影響する変更を扱います。出力は、継続的改善に向けた文書化された意思決定とアクションです。このレビューにはトップマネジメントの関与が必要であり、ガバナンスチームへの全面委任はできません。

ステップ7：認証監査

外部監査は2段階モデルで進みます。第1段階は文書審査（通常1～2日）で、監査人がAIMS文書の妥当性と、組織が本審査に準備できているかを評価します。第2段階は実装監査（スコープと複雑性に応じて3～9日以上）で、監査人が担当者へのヒアリング、エビデンス確認、運用中の付属書A管理策のウォークスルーを行います。

認証書の有効期間は3年間で、毎年のサーベイランス監査と、サイクル末の全面再認証があります。

認証機関に関する重要な留意点： 認証機関（CB）は、認定機関（ANAB、UKAS、DAkkS等）からISO 42001に特化した認定スコープを有する機関を選定してください。ISO/IEC 42006（42001監査機関向け規格）は現在最終化途上であり、監査人の力量には差があります。AIドメインの実証可能な専門性を持つCBによる認定認証は、未認定の認証より実質的に高い価値を持ちます。見た目は類似していても、その差は重要です。[4]

ISO 42001とEU AI法：同等ではなく補完関係

ISO 42001とEU AI法の関係は、しばしば誤解されます。最も重要な点は、ISO 42001認証はEU AI法準拠を構成しないということです。2026年4月時点で、本規格はEU官報に整合規格として掲載されておらず、法的な「適合性推定」メカニズムは適用されません。[5]

ただし、重複領域は非常に大きいのが実情です。CEN-CENELEC合同技術委員会21は、ISO 42001を欧州規格へ適応する作業を積極的に進めています（prEN ISO/IEC 42001案は2025年11月～2026年2月に公衆照会）。別途、EU AI法の規制目的に特化した整合規格であるprEN 18286も、2025年10月に公衆照会へ入りました。[6] これらが最終化されEU官報に掲載されれば、ISO 42001認証の位置づけは「有用な準備」から「直接的な準拠経路」へと移行します。

それまでの実務的な重複は、以下の通りです。

• リスク管理： EU AI法第9条は高リスクAI向けにリスク管理システムを要求。ISO 42001条項6は方法論とエビデンス枠組みを提供

• 人による監督： 第14条は監督措置を要求。付属書AのA.9領域が人的介入管理策を定義

• 透明性と文書化： 第11条および第13条は技術文書と透明性を要求。付属書AのA.7およびA.8領域がデータ管理、説明可能性、ステークホルダー開示を扱う

• データガバナンス： 第10条はデータ品質とガバナンスを要求。付属書AのA.7領域が管理枠組みを提供

• 市販後監視： 第72条は継続監視を要求。ISO 42001条項9および10がパフォーマンス評価と改善サイクルを確立

実務上の指針は明確です。ISO 42001は、EU AI法準拠に必要となるガバナンス基盤、エビデンス基盤、マネジメント規律を構築します。今のうちに本規格を実装する組織は、2026年8月に高リスク義務が全面適用される際、整合規格化がその時点で完了しているかにかかわらず、実質的に有利な準備状態にあります。

ISO 42001実装でよくある落とし穴

先行導入組織の経験を検討すると、いくつかのパターンが一貫して見られます。

AIインベントリの過小評価。 組織はスコーピング段階でAIシステム数を過少計上しがちです。シャドーAI利用、サードパーティソフトウェア内の組み込みAI、ベンダープラットフォームに埋め込まれたAIコンポーネントの発見により、初期スコープ見積もりは通常30～50%拡大します。十分な発見プロセスのための時間を計画に組み込んでください。

文書作成作業として扱うこと。 ISO 42001は文書規格ではなく、マネジメントシステム規格です。監査人は方針文書を超え、運用エビデンスを確認するよう訓練されています。美しく書かれたAI方針があっても、リスク評価の実施、モデルテストの実施、人による監督の実施を示す証拠がなければ、第2段階監査に合格できません。

AI影響評価の軽視。 条項6.1.4は多くの組織にとって新規であり、実装時に十分な注意が払われない傾向があります。AIシステム影響評価は、組織リスクだけでなく、社会・人口レベルの影響まで検討することを要求します。ISO 42001着手前にこの方法論を確立している組織は少なく、整備には想定以上の時間を要します。

サイロ化した実装。 ISO 42001は法務、プロダクト、エンジニアリング、データサイエンス、セキュリティ、コンプライアンスを横断します。単一機能（典型的にはコンプライアンスまたはIT）だけで所有される実装は、組織全体で使われないガバナンス枠組みになりがちです。経営層の支援を伴う部門横断ステアリンググループは任意ではなく、成功の前提条件です。

認証と準拠の混同。 認証は、ある時点でマネジメントシステムが規格要求を満たすことを確認するものです。組織が運用するすべてのAIシステムがバイアス皆無で、完全に透明で、適用されるすべての規制に準拠していることまで確認するものではありません。AIMSは、単発の認証取得活動ではなく、継続的改善を駆動する生きたシステムでなければなりません。

タイムラインと投資

ISO 42001実装の現実的な期間は、組織の複雑性によって異なります。

すでにISO 27001認証を取得している組織には、実質的な先行優位があります。調和構造により、リスク管理フレームワーク、内部監査プロセス、文書化情報管理、継続的改善サイクルを直接引き継げるためです。複数の認証機関は、エビデンス共有と監査日数削減を可能にするISO 27001 + ISO 42001統合監査プログラムを提供しています。

投資は時間だけではありません。予算上の検討事項には、CB監査費用（スコープ・複雑性で変動）、部門横断チームへの社内リソース配分、エビデンス収集およびAIインベントリ管理ツールへの投資可能性、AIガバナンスが新規となる役割向け教育が含まれます。大半の実装における最大コスト要因は、エビデンス収集と文書化に必要な人的工数です。特に、AIシステムメタデータ、テスト記録、リスク評価を追跡する集中システムを持たない組織では顕著です。

大規模なAIポートフォリオ全体でISO 42001を実装することは、ガバナンス課題であると同時にインフラ課題でもあります。必要なエビデンス量（モデルカード、テストログ、バイアス評価、データ系統記録、影響評価、変更管理成果物を数十のAIシステムにわたり整備）は、スプレッドシートや共有ドライブでは維持できる範囲を超えます。Enzaiでは、この課題に特化したプラットフォームを提供しています。集中型AIインベントリ、構造化された付属書A管理策マッピング、自動化されたエビデンス収集、ISO 42001のマネジメントシステムサイクルに整合した継続監視を実現します。認証準備中の組織は、デモを予約して実運用での動作をご確認いただけます。

参考文献

[1] IBM, "IBM Becomes First Major Open-Source AI Model Developer to Earn ISO 42001 Certification," 2024年9月; Anthropic, "Anthropic Achieves ISO 42001 Certification," 2025年1月; Microsoft Learn, "ISO/IEC 42001:2023 Compliance"; KPMG Australia（BSIによる認証）; Changi Airport Group（SGSによる認証、2025年2月）。

[2] ISO/IEC 42001:2023, Information technology - Artificial intelligence - Management system. International Organization for Standardization, 2023年12月。

[3] ISO/IEC 42001:2023, Annex A（Reference control objectives and controls）。実装ガイダンスはAnnex Bを参照。

[4] ANABは、ISO 42001の認定を受けた認証機関のレジストリをanab.ansi.orgで公開。ISO/IEC 42006（AIMSの監査・認証を提供する機関への要求事項）は開発中。

[5] 2026年4月時点で、EU AI法に対する適合性推定ステータスを持つAI特化の整合規格は、EU官報に未掲載。ISMS.online, "Presumption of Conformity: Why ISO 42001 Isn't Your AI Act Legal Shield - Yet," 2025を参照。

[6] CEN-CENELEC, "Update on AI Standardization," 2025年10月。prEN ISO/IEC 42001公衆照会（2025年11月～2026年2月）; prEN 18286公衆照会（2025年10月30日開始）。